Version imprimable du sujet
Cliquez ici pour voir ce sujet dans son format original
Forums MacBidouille _ Macbidouille Articles & News : Vos Réactions _ Une faille d'authentification majeure découverte dans dans libssh
Écrit par : Lionel 17 Oct 2018, 05:36
libssh est une implémentation de Secure Shell très largement utilisée pour sécuriser des serveurs et y accéder à distance.
Une faille de sécurité triviale y a été découverte. Elle est présente depuis la version 0.6 publiée en 2014 et elle a depuis lors rendu les serveurs l'utilisant totalement transparents à une attaque.
Il suffit en effet de modifier une commande envoyée au serveur pour que ce dernier donne un plein accès à n'importe qui, comme s'il avait les accréditations nécessaires.
La faille devrait être rapidement comblée mais déjà se pose la question sur la manière dont une faille tellement triviale a pu passer les vérifications et subsister pendant plusieurs années sans que personne ne s'en rende compte.
http://macbidouille.com/news/2018/10/17/une-faille-dauthentification-majeure-decouverte-dans-dans-libssh
Écrit par : ziggyspider 17 Oct 2018, 07:43
"subsister pendant plusieurs années sans que personne ne s'en rende compte" …
Rien n'est moins sûr ! N'importe quel malveillant découvrant cette faille ne le chanterait pas sur les toits mais l'exploiterait.
Écrit par : ob1 17 Oct 2018, 08:34
Rien n'est moins sûr ! N'importe quel malveillant découvrant cette faille ne le chanterait pas sur les toits mais l'exploiterait.
libssh est open source, non ?
Donc la communauté pouvait y accéder.
Écrit par : WipeOut 17 Oct 2018, 09:14
La NSA devait la connaitre cette faille 
Écrit par : Macmmouth 17 Oct 2018, 10:32
Rien n'est moins sûr ! N'importe quel malveillant découvrant cette faille ne le chanterait pas sur les toits mais l'exploiterait.
libssh est open source, non ?
Donc la communauté pouvait y accéder.
Avoir accès au code source ne signifie pas tout connaitre de son comportement.
Si c'était le cas, les bugs n'existeraient pas.
Écrit par : yponomeute 17 Oct 2018, 10:38
Donc la communauté pouvait y accéder.
C'est qui la communauté ?
Écrit par : sebp 17 Oct 2018, 11:17
Il ne me semble pas inutile de rappeler que la plupart des implémentations de serveurs SSH (comme OpenSSH, pour ne citer que le plus connu et utilisé d'entre eux) ne s'appuient pas sur cette bibliothèque de fonctions.
Ça limite tout de même fortement la portée de ce bogue.
Écrit par : iAPX 17 Oct 2018, 12:12
Ça limite tout de même fortement la portée de ce bogue.
+100
Ce matin en commençant à lire des problèmes sur libssh j'ai eu des palpitations, j'ai pensé à nos serveurs, j'étais livide jusqu'à ce que je m'aperçoive vraiment de la portée du truc.
C'est important, et une bug très idiote (ou bien conçue!) mais ça n'est pas une catastrophe
Écrit par : linus 17 Oct 2018, 23:00
Informatique et sécurité semblent de plus en plus être des contraires.
Alors, "sécurité informatique", oxymore ? antilogie ?
Écrit par : Sethy 17 Oct 2018, 23:20
Alors, "sécurité informatique", oxymore ? antilogie ?
Non, raccourci car il manque un terme à l'équation : finance (enfin ce serait plutôt l'expression "décideur doté de bon sens")
Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)